西斯特

香港的抗议活动已经持续了相当长的一段时间，而中国政府似乎正在失去耐心，而诉诸于一些创新技术。最近，有人发现北京曾雇用威胁演员针对香港的抗议者。目标抗议者将收到一封电子邮件，该邮件被西方的一名法学院学生掩盖为消息。攻击者在信中假装对抗议活动感兴趣，并要求接收者“建议结束香港抗议活动”。攻击者会将三个文件附加到欺诈性电子邮件中，其中两个是真实文件，另一个是显示为'。 RTF”文件，但为“。 LNK'文件。通过使用双扩展名（一个相当古老但有效的技巧）将此损坏的文件屏蔽为无害文档。

使用屏蔽为图像的“ .PNG”文件

的'。 LNK文件是一个链接，在本次北京大战中，文件是'。 LNK'文件指向真实的'msiexec.exe'文件。的'。附加到虚假电子邮件的LNK文件必须执行“ msiexec.exe”文件，并从GitHub下载文件。有问题的文件似乎是'。 PNG图片，但可作为可执行文件运行。该可执行文件用于生成数百个伪文件。其中之一是位于“ siHost64”中的初始有效负载。

能力

％APPDATA％文件夹将包含一个名为“ siHost64”的Python脚本。该脚本旨在：

• 通过篡改Windows注册表获得持久性。
• 与攻击者的C＆C（命令和控制）服务器建立连接，该服务器借助DropBox API进行操作。
• 使用C＆C服务器抓取包含加密命令的文件。解密命令后，威胁将执行它们。这些操作的结果存储在新的加密文件中。威胁将定期将文件泄漏到C＆C服务器。

本质上，Sihost威胁是一种间谍工具。该后门特洛伊木马程序将允许其操作员从受感染主机中收集信息，并将其传输到攻击者的服务器。

很明显，Sihost恶意软件并非旨在针对随机用户。这种威胁的感染率非常低，其受害者似乎在中国地区，这使专家们认为，“ Sihost Trojan”是专门针对洪岗抗议者而开发的。威胁非常发达，很明显，有经验的网络犯罪分子造就了Sihost后门特洛伊木马。